返回

谷歌披露另一个未修补的Windows 8.1漏洞

发布时间:2022-04-21 00:33:14 364
# 软件# 信息# 安全漏洞# 软件# 缺陷
Google Discloses Another Unpatched Windows 8.1 Vulnerability

这是在不到一个月的时间里,谷歌的安全研究团队Project Zero第二次发布微软操作系统漏洞的详细信息,此前该团队发布了90天的公开披露期限政策。

谷歌零号项目该团队通常会在不同公司的不同产品中发现漏洞。然后,这些漏洞会被报告给受影响的软件供应商,如果他们在90天内没有修补漏洞,谷歌会自动公布漏洞及其详细信息。

在不到一个月的时间里披露了两个安全漏洞
两周前,Google Project Zero团队披露了一个影响Windows 8.1的特权提升(EoP)漏洞的细节,该漏洞可能允许黑客修改内容,甚至完全接管受害者的计算机,使数百万用户易受攻击。

当时,微软批评谷歌在计划修复Windows 8.1安全漏洞之前向公众披露了该漏洞。据微软称,谷歌披露的Windows 8.1漏洞可能让操作系统的用户暴露在黑客面前。

然而,就在微软计划修补该漏洞的两天前,谷歌发布了微软Windows 8.1第二个安全漏洞的概念验证细节,这表明谷歌project zero决心坚持90天的最后期限来修复软件缺陷。

微软vs谷歌
不过,微软对谷歌的Project Zero团队强制执行的90天披露期限感到非常不安。该团队于10月13日向微软通报了特权漏洞的新升级。

去年11月,微软要求谷歌将截止日期延长至2015年2月,届时微软计划解决这一问题。然而,这家搜索引擎巨头拒绝了。但后来,当微软在1月的补丁补丁程序周二承诺解决该漏洞时,谷歌仍然拒绝将截止日期延长两天。
"我们要求谷歌与我们合作,在1月13日(星期二)之前保留细节,以保护客户,届时我们将发布修复程序“微软安全响应中心的高级主管克里斯·贝茨在周日的一篇博文中说。”尽管遵循谷歌公布的披露时间表,但这一决定感觉不像是原则,更像是“抓住了机会”,可能会因此受到影响的是客户。"
新EoP缺陷的技术细节
据谷歌的安全团队称,用户档案服务用于创建特定目录,并在用户登录计算机后立即安装用户配置单元。除了加载配置单元,基本配置文件目录是在特权帐户下创建的,这是安全的,因为普通用户需要管理员权限才能这样做。
"然而,它处理模拟的方式似乎有一个缺陷,配置文件中的前几个资源是在用户的令牌下创建的,但这会在一段时间内变成模拟本地系统,“谷歌说。”在模拟本地系统时创建的任何资源都可能被用来提升权限。请注意,每次用户登录到他们的帐户时都会发生这种情况,而不仅仅是在本地配置文件的初始配置期间发生。"
一份证明微软Windows 8.1操作系统遭到攻击的概念证明(PoC)已经发布,但专家证实,该漏洞也会影响Windows 7。

特别声明:以上内容(图片及文字)均为互联网收集或者用户上传发布,本站仅提供信息存储服务!如有侵权或有涉及法律问题请联系我们。
举报
评论区(0)
按点赞数排序
用户头像
精选文章
thumb 中国研究员首次曝光美国国安局顶级后门—“方程式组织”
thumb 俄乌线上战争,网络攻击弥漫着数字硝烟
thumb 从网络安全角度了解俄罗斯入侵乌克兰的相关事件时间线